Datenschutzerklärung

Version: 1.2
Datum: 2026-06-03

Diese Datenschutzerklärung informiert über die Bearbeitung personenbezogener Daten durch Adili ICT Services (Einzelfirma, Inhaber: Latif Adili; „wir/uns“) beim Betrieb der Plattform (Kandidatenprofile/Jobs).

Hinweis: Ausrichtung am revidierten Schweizer Datenschutzgesetz (revDSG) und – soweit relevant (z. B. bei EU‑Bezug) – an der DSGVO.

1. Verantwortlicher und Kontakt

• Verantwortlicher: Adili ICT Services (Einzelfirma)
• Verantwortliche Person: Latif Adili

2. Zwecke der Datenbearbeitung

• Bereitstellung der Plattform, Accounts & Nutzerverwaltung
• Verwaltung von Kandidatenprofilen/CVs/Jobs und Matching‑Funktionen
• Entgegennahme, Speicherung und Verwaltung von Bewerbungen über öffentliche Stellenanzeigen
• Optionaler CV‑Check vor einer Bewerbung, inkl. Textextraktion, KI‑Analyse und Abgleich mit einer konkreten Stelle
• KI‑Analysen zur inhaltlichen Auswertung (siehe Abschnitt 6)
• Sicherheit, Missbrauchs‑/Betrugsprävention, Logging
• Betrieb, Wartung, Fehleranalyse, Performance
• Kommunikation, Support, Vertragsabwicklung, Abrechnung
• Rechtspflichten, Durchsetzung von Ansprüchen

3. Kategorien von Daten

• Stammdaten: Name, Kontaktdaten, Account‑Daten, Rollen/Berechtigungen
• Bewerbungsdaten: Name, E‑Mail, Telefonnummer, beworbene Stelle, Bewerbungszeitpunkt, Bewerbungsstatus, Antworten auf Vorabfragen sowie hochgeladene Lebensläufe/CVs
• CV‑Check‑Daten: temporär hochgeladene CV‑Datei, daraus extrahierter Text, strukturierte Analyse, Match‑Score/Empfehlung und zugehörige Jobdaten
• Inhaltsdaten: Profilangaben, Lebensläufe, Dokumente, Jobtexte
• Nutzungsdaten: Log‑/Metadaten, Geräte‑/Browser‑Informationen, Zeitstempel
• Lokale Browserdaten: technisch notwendige oder funktionale Informationen, z. B. ob eine Bewerbung für eine konkrete Stelle in diesem Browser bereits eingereicht wurde
• Abrechnungsdaten: Rechnungs‑/Zahlungsinformationen (sofern kostenpflichtig)
• Besonders schützenswerte Daten (können in CVs/Profilen enthalten sein), z. B. Gesundheitsangaben, Gewerkschaftszugehörigkeit, religiöse Überzeugungen – bitte nur bereitstellen, wenn erforderlich und mit Einwilligung.

4. Rechtsgrundlagen

Wir bearbeiten Daten gemäss revDSG. Soweit die DSGVO anwendbar ist, beachten wir deren Anforderungen. Auf die Nennung einzelner Artikel wird verzichtet.

5. Empfänger und Speicherorte

• App Hosting: Vercel (Betrieb; Verarbeitungen in Form von Logs/Telemetrie möglich)
• Dateien: Amazon S3, Region Schweiz
• Datenbank: Supabase, Region Schweiz
• KI: OpenAI API (siehe Abschnitt 6)

Primäre Anwendungsdaten (CVs, Profile, Bewerbungen, DB) speichern wir in der Schweiz. Bewerbungen über öffentliche Stellenanzeigen werden in der Datenbank (Supabase, Region Schweiz) gespeichert; hochgeladene Lebensläufe/CVs werden im Dateispeicher (Amazon S3, Region Schweiz) abgelegt. Vercel kann Betriebs‑/Zugriffs‑Logs ausserhalb der Schweiz verarbeiten. OpenAI kann in Drittländer transferieren. Details siehe Unterauftragsbearbeiterliste und AVV.

6. KI‑Analysen (OpenAI)

• Zweck: inhaltliche Analyse/Unterstützung (z. B. Matching, Zusammenfassungen)
• Für die öffentliche CV‑Analyse ist die Bestätigung bzw. Akzeptanz dieser Datenschutzerklärung erforderlich. Ohne diese Bestätigung wird keine Analyse durchgeführt.
• Im Rahmen des öffentlichen CV‑Checks wird der hochgeladene Lebenslauf zur Textextraktion und Sicherheitsprüfung temporär in unserem Dateispeicher (Amazon S3, Region Schweiz) gespeichert und anschliessend wieder gelöscht. Der extrahierte Text und daraus abgeleitete Profilinformationen werden zur CV‑Analyse und zum Job‑Matching über die OpenAI API verarbeitet. Der CV‑Check erstellt noch keine Bewerbung und speichert die CV‑Datei nicht dauerhaft im Recruiting‑Dashboard.
• Datenminimierung: Wir pseudonymisieren/minimieren, soweit möglich.
• Trainingsnutzung: Wir konfigurieren, dass Inhalte nicht zum Training verwendet werden, soweit verfügbar/vertraglich zugesichert.
• Drittlandtransfer: Bei Nutzung der OpenAI‑API kann ein Transfer in die USA/andere Drittländer stattfinden. Wir stützen uns auf Standardvertragsklauseln (SCC) und zusätzliche Massnahmen.
• Keine rein automatisierten Rechtsfolgen: Ergebnisse sind unterstützend; Entscheidungen werden nicht ausschließlich automatisiert getroffen.

7. Cookies, Tracking, Analysen

Wir verwenden technisch notwendige Cookies und ähnliche Browser‑Technologien wie localStorage. Dazu gehören Session‑Cookies für den Dashboard‑Login, kurzlebige Sicherheits‑Cookies für öffentliche CV‑Checks und lokale Funktionsspeicherungen auf öffentlichen Stellenanzeigen. Nach erfolgreicher Bewerbung speichern wir im Browser der bewerbenden Person eine technische Markierung pro Stelle, damit die Bestätigung erneut angezeigt und eine versehentliche Doppelbewerbung reduziert wird. Diese lokale Markierung enthält keine Bewerbungsunterlagen und keine Kontaktdaten, bleibt aber grundsätzlich bestehen, bis Browserdaten gelöscht oder die Markierung entfernt wird. Für optionale Analysen/Marketing (sofern eingesetzt) holen wir – bei EU‑Nutzer:innen – vorherige Einwilligung ein (Consent‑Banner). In der Schweiz genügt ein Opt‑out, dennoch informieren wir transparent. Details: legal/Cookie_Richtlinie.md.

8. Aufbewahrung und Löschung

• Accounts und Inhalte: bis zur Löschung/Kündigung bzw. soweit gesetzlich erforderlich.
• Bewerbungen und hochgeladene CVs: solange sie für den Bewerbungsprozess, die Verwaltung der Stelle, berechtigte Nachweise oder gesetzliche Pflichten erforderlich sind; anschliessend Löschung oder Anonymisierung. Bewerbungen können durch berechtigte Dashboard‑Nutzer:innen gelöscht werden; dabei wird auch der zugehörige CV‑Dateispeicherpfad gelöscht, soweit technisch zuordenbar.
• CV‑Check: temporär hochgeladene Dateien werden nach Textextraktion/Analyse wieder gelöscht. Der extrahierte Text und die Analyse werden für die Durchführung des CV‑Checks verarbeitet und nicht als Bewerbung gespeichert, sofern die Person anschliessend keine Bewerbung einreicht.
• Lokale Browsermarkierungen zu eingereichten Bewerbungen: ohne festes Ablaufdatum im Browser gespeichert; Löschung durch Entfernen der Website‑/Browserdaten oder durch technische Zurücksetzung.
• Logs: i. d. R. bis zu 12 Monate, sofern nicht zur Abwehr/Beweisführung länger nötig.
• Backups: rollierend, üblicherweise 30–35 Tage.
• Öffentliche Links: bis zur Deaktivierung durch Nutzer:in oder Ablauf gemäss Konfiguration.

9. Sicherheit (TOMs)

Wir setzen angemessene technische und organisatorische Massnahmen ein: Verschlüsselung (Transport/Ruhe, wo möglich), Zugriffskontrollen, Least‑Privilege, Monitoring, Härtung, Geheimnisverwaltung, Sicherheitsreviews, Notfall‑/Breach‑Prozesse. Details: legal/Sicherheitsmassnahmen_TOMs.md.

10. Rechte von betroffenen Personen

Nach revDSG und – soweit anwendbar – DSGVO: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch sowie Widerruf von Einwilligungen. Anfragen bitte an [privacy@…].

11. Internationale Datenübermittlungen

Wo Daten in Drittländer übermittelt werden (z. B. OpenAI, Vercel‑Logs), setzen wir geeignete Garantien (SCC) und zusätzliche Massnahmen ein. Restrestrisiken kommunizieren wir transparent.

12. Auftragsbearbeitung (AVV/DPA)

Bei B2B‑Einsätzen agieren wir als Auftragsbearbeiter. Ein AVV/DPA wird abgeschlossen (Muster: legal/Auftragsbearbeitungsvertrag_Muster.md). Unterauftragsbearbeiter und deren Standorte werden geführt und Änderungen mitgeteilt.

13. Änderungen dieser Erklärung

Wir können diese Erklärung anpassen, z. B. bei neuen Funktionen, Rechtslage oder Dienstleistern. Die jeweils aktuelle Version ist hier veröffentlicht.

14. Beta-/Entwicklungsphase & Migration

• Die aktuelle Bereitstellung erfolgt teilweise in einer Entwicklungs-/Beta‑Umgebung. Es bestehen keine SLAs; Funktionen und Datenbestände können sich kurzfristig ändern.
• In der DEV‑Umgebung können Daten bei Releases/Migrationen gelöscht werden. Bitte speichern Sie keine produktiven oder besonders schützenswerten Daten in der DEV‑Umgebung.
• Bei Umzug in die Produktionsumgebung werden relevante Daten migriert; Testdaten werden gelöscht.
• Rechtsgrundlage für DEV‑Bearbeitungen ist unser berechtigtes Interesse an Betrieb und Weiterentwicklung der Plattform (revDSG; Art. 6 Abs. 1 lit. f DSGVO, soweit anwendbar).
• Verantwortlichkeiten: Firmen/Nutzer:innen stellen sicher, dass sie für eingestellte Inhalte (insbesondere besondere Kategorien) eine geeignete Rechtsgrundlage/Einwilligung besitzen.

Deutlicher Hinweis: Daten werden mit eigener Verantwortung eingesetzt. Wir übernehmen keine Verantwortung für Datenleaks, Datenverluste oder sonstige Sicherheitsvorfälle.